Blocage pc virus gendarmerie

PSYKO -  
 g3n-h@ckm@n -
Bonjour, voici ma mésaventure de la veille pour l'instant sans avancement notable de ma part.

en effet depuis hier soir suite à un téléchargement gratuit d'un soft banal une page m'est apparu bloquant tout acces à mon pc.
Suite à 5min de panique en voyant le logo de la gendarmerie et les coupures d'urgence qui s'impose (mea culpa pour les conservateur) j'ai repris mes esprits et entrepris une recherche sur comment ca marche.

j'y est trouvé une partie de mes réponse, à savoir le virus GENDARMERIE type ranson ware.

suite à ma recherche et aux nombreuses explications j'ai quand même reussis à acceder à mon ordinateur via l'invit de commande sans echec (explorer.exe) j'ai de suite téléchargé et lancé des scan par rogue killer et malwarebytes.
1) roguekiller ne detecte rien
2) malware detecte 2 intrus supprimés

mais, bah oui il y a toujours un mais !

le lancement de la machine se fait correctement mais je retombe encore et toujours sur la seule et même page de nos amis de la gendarmerie fake.

je mets a disposition le rapport de malware si quelqu'un à une idée de la marche à suivre à l'heure actuelle je suis toutes ouïe.

Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.01.13.04

Windows 7 x86 NTFS (Mode sans échec)
Internet Explorer 9.0.8112.16421
Psyko :: PSYKO-TOWER [administrateur]

Protection: Désactivé

10/03/2012 10:30:15
mbam-log-2012-03-10 (10-30-15).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 163446
Temps écoulé: 4 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Psyko\Downloads\LOIC.exe (PUP.HackTool.LOIC) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Psyko\AppData\Local\Temp\wpbt0.dll (Exploit.Drop) -> Mis en quarantaine et supprimé avec succès.

(fin)

9 réponses

  1. g3n-h@ckm@n
     
    salut

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  2. PSYKO
     
    je viens d'envoyer le rapprt pre sca. c'est celui que tu voulais?

    j'en ai plusieurs, c'est le plus long celui-la

    crdt
    0
  3. g3n-h@ckm@n
     
    heu si tu me donnes pas le lien ca va etre dur pour aller le consulter ^^
    0
  4. PSYKO
     
    je ne sais pas si le lien est necessaire etant donné que ton petit soft a tres tres bien fonctionné!

    quoi qu il en soit je te remercie vivement pour ton aide précieuse!

    merci à toi et bonne journée j'essairais dans la journée de te passer le lien.

    cordialement.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. PSYKO
     
    tiens au passage :

    http://pjjoint.malekal.com/files.php?id=20120310_i10l7f5h5o8
    0
  7. g3n-h@ckm@n
     
    faut que t'installes le service pack 1
    faut desinstaller adobe reader 9 et installer le 10 (sans l'extra proposé discretement)
    faut desinstaller Facemoods ca te pourrit les navigateurs
    faut desinstaller babylon/babylon toolbar ca te pourrit les navigateurs
    faut desinstaller DealPly ca te pourrit les navigateurs

    =============
    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "facemoods"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64182481-4F71-486b-A045-B233BD0DA8FC}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FFDF9EF3-3C3A-4f05-9A6E-5D3B778EC567}]
    [-HKCU\Software\BabylonToolbar]
    [-HKCU\Software\DealPly]
    [-HKCU\Software\facemoods.com]
    [-HKLM\Software\Babylon]
    [-HKLM\Software\BabylonToolbar]
    [-HKLM\Software\DealPly]
    [-HKLM\Software\facemoods.com]

    txt::
    C:\Windows\System32\Tasks\{A3E123D4-330F-485F-A44F-7002DD3CA84E}

    command::
    ren "%Windir%\explorer.exe" "%Windir%\Explorer.ex_"
    del /f /q "%Windir%\expl?rer.exe
    ren "%Windir%\explorer.ex_" "%Windir%\Explorer.exe"
    for %%a in (
    "expl?rer.exe"
    ) do if exist "%Windir%\%%~a" (
    echo %Windir%\%%~a >> %Homedrive%\Pre_script.txt" )

    folder::
    C:\Program Files\DealPly
    C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\ffxtlbr@babylon.com
    C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\ffxtlbr@Facemoods.com
    C:\Users\Psyko\AppData\Roaming\Mozilla\Firefox\Profiles\dbcgjxd4.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly
    C:\Users\Psyko\AppData\Roaming\Babylon
    C:\ProgramData\Babylon
    C:\Users\Psyko\AppData\Local\Babylon
    C:\Program Files\BabylonToolbar
    C:\Program Files\DealPly
    C:\Program Files\facemoods.com

    Mbr::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    =====================

    Télécharge Sur cette page : AdwCleaner (de Xplode)

    ▶ clique sur Télécharger et enregistre le fichier sur ton Bureau

    ▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

    ==================================

    ▶▶▶ Sous Vista et Windows 7 /!\ :

    il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

    ==================================

    Sur le menu principal :

    ▶ clique sur Suppression et patiente le temps de l'analyse

    ▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  8. PSYKO
     
    voici le lien du pre script :
    http://pjjoint.malekal.com/files.php?id=20120310_j10x5q1215l9

    crdt
    0
    1. PSYKO
       
      quand o rapprt de adw cleaner je l ai mais il ne veut peut le poster (titre message non renseigné)
      0
    2. PSYKO
       
      un grand merci encore une fois.
      0
  9. g3n-h@ckm@n
     
    salut inscris-toi sur CCM , le rapport passera
    0
  10. XYZvRATz
     
    Bonjour, j'ai eu le même probleme aujourd'hui.
    J'ai redemarrer l'ordi en mode sans echec (avec accès a la console ou je sais plus quoi) mais je l'ai éteint pendant qu'il chargait les fichiers au demarrage...du coup gros plantage.
    Quand je redemarre il m'envois un message disant echec du demarrage. Je clic donc sur resoudre le probleme et il retélécharge les fichiers (pendant environs 30min). je redemarre donc (encore) en mode normal et là plus de virus j'ai accès a tous mes dossiers, ^internet etc....
    Ce qui m'amenne a vous poser cette question: Le virus est-il definitivement supprimer ou dois-je encore m'en inquieter et faire la procedure ci dessus? Si ce n'est pas le cas j'ai un pc de malade qui regle tout tout seul xD.
    J'espere avoir été assez clair, merci de vos reponses!
    0
    1. g3n-h@ckm@n
       
      salut ne fais rien du tout ouvre un nouveau sujet
      0